Кибербезопасность цепочки поставок - Supply chain cyber security
Кибербезопасность цепочки поставок относится к усилиям по повышению информационная безопасность в пределах цепочка поставок. Это подмножество безопасность цепочки поставок и ориентирована на управление информационная безопасность требования для системы информационных технологий, программного обеспечения и сети, которые вызваны такими угрозами, как кибертерроризм, вредоносное ПО, кража данных и продвинутая постоянная угроза (APT). Типичные действия в области кибербезопасности цепочки поставок для минимизации рисков включают покупку только у проверенных поставщиков, отключение критически важных машин от внешних сетей и ознакомление пользователей с угрозами и мерами защиты, которые они могут предпринять.
И.о. заместителя заместителя министра национальной защиты и программ Управления Министерство внутренней безопасности США Грег Шаффер заявил на слушаниях, что ему известно о случаях обнаружения вредоносных программ на импортированных электронных и компьютерных устройствах, продаваемых в Соединенных Штатах.[1]
Примеры угроз кибербезопасности цепочки поставок
- Сетевое или компьютерное оборудование, на котором уже установлено вредоносное ПО.
- Вредоносное ПО который вставляется в программное или аппаратное обеспечение (различными способами)
- Уязвимости в программных приложениях и сетях внутри цепочка поставок которые обнаружены вредоносными хакеры
- Поддельное компьютерное оборудование
Связанные с этим усилия правительства США
- Комплексная национальная кибернетическая инициатива
- Положение о оборонных закупках: указано в разделе 806 Закона Закон о полномочиях национальной обороны
- Международная стратегия киберпространства: Белый дом впервые излагает видение США безопасного и открытого Интернета. В стратегии выделяются три основные темы: дипломатия, развитие и оборона.
- Дипломатия: Стратегия направлена на «продвижение открытой, совместимой, безопасной и надежной информационной и коммуникационной инфраструктуры» путем установления норм приемлемого поведения государства, построенных на основе консенсуса между странами.
- Разработка: С помощью этой стратегии правительство стремится «содействовать наращиванию потенциала кибербезопасности за рубежом, на двусторонней основе и через многосторонние организации». Цель состоит в том, чтобы защитить глобальную ИТ-инфраструктуру и наладить более тесные международные партнерские отношения для поддержки открытых и безопасных сетей.
- Защита: Стратегия призывает правительство «обеспечить, чтобы риски, связанные с атакой или использованием наших сетей, значительно перевешивали потенциальные выгоды», и призывает все страны расследовать, задерживать и преследовать преступников и негосударственных субъектов, которые вторгаются и нарушают работу сетевых систем. .
Соответствующие правительственные усилия по всему миру
- Россия: В России уже несколько лет действуют требования к сертификации нераскрытых функциональных возможностей, и недавно была начата разработка национальной программной платформы на основе программного обеспечения с открытым исходным кодом. Это отражает очевидное стремление к национальной автономии, уменьшая зависимость от иностранных поставщиков.
- Индия: Признание риска цепочки поставок в проекте Национальной стратегии кибербезопасности. Вместо того, чтобы нацеливать конкретные продукты на исключение, он рассматривает политику коренных инноваций, отдавая предпочтение отечественным поставщикам ИТЦ, чтобы создать устойчивое, конкурентоспособное на глобальном уровне национальное присутствие в этом секторе.
- Китай: Исходя из целей 11-го пятилетнего плана (2006–2010 гг.), Китай ввел и реализовал сочетание ориентированной на безопасность и агрессивной политики инноваций коренных народов. Китай требует использовать каталог инновационных продуктов коренных народов для своих государственных закупок и внедрения многоуровневой схемы защиты (MLPS), которая требует (среди прочего), чтобы разработчики и производители продуктов были гражданами Китая или юридическими лицами, а также ключевыми технологиями и ключевыми продуктами компоненты должны иметь независимые китайские или местные права интеллектуальной собственности.
Другие ссылки
- Центр обмена и анализа информации о финансовом секторе
- Международная стратегия киберпространства (из Белого дома)
- NSTIC
- Технический документ SafeCode
- Форум доверенных технологий и стандарт открытого поставщика доверенных технологий (O-TTPS)
- Решение для обеспечения безопасности цепочки поставок в киберпространстве
- Вредоносные программы в прошивках
- Цепочка поставок в эпоху программного обеспечения
- ЦЕПОЧКА ПО УПРАВЛЕНИЮ РИСКАМИ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ: ПРОМЕЖУТОЧНЫЙ ОТЧЕТ
Смотрите также
- Цепочка поставок
- Управление рисками цепочки поставок
- Безопасность цепочки поставок
- ISO / PAS 28000
- NIST
- Надежные вычисления
Рекомендации
- ^ «Внутренняя безопасность: устройства и компоненты, содержащие вредоносное ПО». Информационная неделя. 2011-07-11. Получено 2011-09-16.